Newsletter du 11 Mai 2026
C'est un métier étrange que le nôtre. On passe des années à apprendre des choses qui deviennent obsolètes, à maîtriser des outils qu'on abandonnera, à comprendre des systèmes qu'on remplacera, et on recommence, sans vraiment se plaindre, parfois même avec enthousiasme.
L'autre soir mon fils aîné m'a trouvé dans le salon, tard, les yeux rivés sur mon écran. Il m'a demandé ce que je lisais, je lui ai expliqué : dans notre métier, ne pas faire de veille c'est accepter d'être surpris. Par une techno qu'on aurait pu anticiper, une tendance qu'on aurait pu lire venir, un changement qui était pourtant là, dans les signaux faibles, pour qui prenait le temps de regarder. Et se laisser dépasser, dans un secteur qui change aussi vite que le nôtre, ça va très vite.
Il a hoché la tête, il a dit "ouais c'est comme les gamers qui regardent des streams pour progresser" et il est allé se coucher.
J'ai réfléchi deux secondes. Dans le fond il n'avait pas tort, peu importe le domaine, ceux qui progressent sont ceux qui regardent, qui lisent, qui écoutent, même quand ils n'en ont pas envie, même un jeudi soir tard dans un salon.
Bonne lecture.
Cyril
La pépite de la semaine
On a tous un jour ouvert le dashboard Kubernetes officiel, regardé l'écran vide pendant trente secondes, et refermé la tab avec la dignité d'un homme qui vient de percuter un poteau dans la rue. Et puis on a relancé un kubectl get pods dans le terminal parce qu'au fond c'est là qu'on se sent vraiment chez nous. Radar débarque pour changer ça : un binaire unique, zéro installation côté cluster, zéro compte et zéro dépendance cloud. Tu lances kubectl radar et tu as une topologie interactive de ton cluster, un browser de ressources, une timeline d'events, la gestion Helm, le support FluxCD et ArgoCD, du port-forwarding, et même un viewer pour inspecter le filesystem de tes images de conteneurs sans les puller localement. C'est rapide, ça fonctionne en airgapped (idéal quand ta fibre passe par un DSLAM de Montargis), et ça tourne sur GKE, EKS, AKS, minikube ou n'importe quel cluster conforme. Cerise sur le pralin : un serveur MCP intégré permet à Claude, Cursor ou Copilot de requêter ton cluster via Radar avec des données pré-mâchées et token-optimisées, plutôt que du YAML brut qui brûle ton context window comme un étudiant brûle sa bourse en fin de mois. Open source sous Apache 2.0, c'est une chouette alternative à tous les dashboards qui promettent beaucoup et tiennent peu.
Le coeur de la veille
Securing CI/CD for an open source project Un chouette post des cowboys de chez Cilium sur comment ils durcissent leur supply chain, et qui vaut largement le détour parce qu'ils n'oublient pas de lister ce qui ne fonctionne pas encore. Le contexte rappelle utilement que SolarWinds a livré du malware à 18 000 organisations via des updates tout à fait normales, et que Cilium tourne dans le kernel-level networking de millions de pods Kubernetes, ce qui rend le sujet un peu moins théorique. Au menu : déclenchement de workflows uniquement par des membres vérifiés via leur bot Ariane, double checkout pour séparer code de confiance et code de PR, SHA-pinning systématique de toutes les actions et images, dépendances Go vendorisées et reviewées par une équipe dédiée, isolation totale entre credentials CI et credentials de production, et signature Cosign keyless sur chaque release. Du côté des trucs encore manquants : pas encore de SLSA provenance, pas de dependency-review sur les PR, pas de govulncheck en CI, et 68 références internes à @main qui traînent encore. Un modèle à parcourir si vous gérez une CI/CD qui touche à quelque chose d'un tant soit peu critique.
I left port 22 open for 54 days Vous avez toujours voulu savoir ce qui se passe quand on laisse le port 22 ouvert sur internet ? Arman Hossain l'a fait pendant 54 jours et il revient avec 317 Mo de logs. Une excellente lecture pour tous ceux qui ont toujours voulu savoir ce qui rôde dehors.
Codeflow On a tous ce collègue relou qui débarque sur un nouveau projet, ouvre dix fichiers en même temps, dit "ouais j'ai compris l'archi" et ment effrontément. CodeFlow c'est l'outil qu'on aurait voulu avoir pour le démasquer : collez une URL GitHub, et vous obtenez un graphe interactif de dépendances, une analyse de blast radius ("si je touche ce fichier, qu'est-ce qui explose ?"), une heatmap d'activité par commit, un score de santé A-F, de la détection de patterns et d'anti-patterns, et même un scanner de secrets hardcodés pour les distraits. Ça tourne entièrement dans le navigateur, zéro backend, zéro installation, zéro compte, votre code ne quitte jamais votre machine. Un fichier HTML unique, MIT, et une GitHub Action qui colle une carte SVG auto-updatée sur votre README à chaque merge pour afficher l'état de santé du projet. Idéal pour onboarder des nouveaux, préparer une revue d'architecture, ou juste réaliser que votre monolithe de 2019 est cliniquement obèse.
En bref
A better whois and domain intelligence toolkit On utilise tous whois comme si on était encore en 1995 en se demandant pourquoi l'output ressemble à un ticket de caisse froissé. Quien règle ça avec une TUI qui agrège en un coup WHOIS/RDAP, DNS, configuration mail (MX, SPF, DMARC, DKIM, BIMI), SSL/TLS, headers HTTP, analyse SEO, et détection de stack technique. Pour les domaines ça fait le tour complet, pour les IPs ça remonte le reverse DNS, les infos réseau, les contacts abuse, l'ASN via RDAP avec fallback BGP, et l'enrichissement PeeringDB pour le contexte de peering. La cerise : ssh quien.sh pour tester sans rien installer, ce qui est exactement le niveau de flemme qu'on respecte. Disponible en JSON pour les pipelines, avec sous-commandes par module, retry automatique avec backoff exponentiel, et un alias whois=quien suggéré sans honte dans la doc. Sobre et utile, ça fait oublier vingt ans de mauvaises habitudes.
What's gone wrong at Github GitHub est en train de couler et c'est un peu de sa faute. Entre mai 2025 et avril 2026, 257 incidents recensés dont 48 majeurs, soit environ une grosse panne par semaine, avec GitHub Actions en tête du classement avec 57 outages sur la période. Un tracker non officiel estime l'uptime réel à 84,88% sur les 90 derniers jours, ce qui est moins une infrastructure critique qu'un service en bêta perpétuelle. Le CTO l'a dit lui-même sans détour : la plateforme n'a pas été conçue pour l'échelle qu'on lui demande aujourd'hui, et ils sont passés d'un plan à 10X la capacité à un plan à 30X en l'espace de quelques mois. La cause ? L'explosion du développement assisté par IA, et notamment les workflows agentiques qui créent des PRs, déclenchent des CI runs et consomment des APIs à vitesse machine. L'ironie étant que GitHub Copilot a activement créé ce marché et cette génération de développeurs avant de se faire écraser par les conséquences. Pendant ce temps, Mitchell Hashimoto a tenu un journal pendant un mois en cochant chaque jour où une panne GitHub avait bloqué son travail et pratiquement tous les jours avaient une croix. Son projet Ghostty quitte la plateforme le projet Zig est parti sur Codeberg en décrivant une culture ingénierie "pourrie". PyPI, npm et GitLab gèrent le même boom sans s'effondrer en public. La vraie question que personne ne pose franchement : est-ce qu'une organisation dont le CEO a été remplacé par un reporting direct à Microsoft CoreAI, sous pression commerciale permanente de Copilot, est encore capable de prioriser la fiabilité sur la nouveauté ?
Sous les pavés l'IA
9Router Un proxy local qui redirige vos outils de coding vers le provider le moins cher qui répond encore. Abonnement Claude Code épuisé, ça bascule sur GLM, GLM trop cher, ça bascule sur du gratuit etc. RTK compresse les sorties d'outils au passage pour économiser 20 à 40% de tokens. Open source, npm install -g 9router, et vous ne voyez plus jamais une rate limit en plein refactor.
Hugging Face and Clawhub compromised Un très bon papier des coyotes de chez The Next Web sur un sujet qui devrait faire mal. Les dépôts de modèles IA sont truffés de malware et l'industrie fait semblant d'être surprise. Hugging Face : 352 000 modèles problématiques, des centaines qui exécutent du code au chargement via une technique qui contourne l'outil de détection maison. Pour ClawHub : 341 skills malveillantes sur 2 857 auditées, dont 30 qui minaient de la crypto en silence sur les machines des victimes. Le détail qui tue avec les agents IA qui sélectionnent et exécutent ces skills sans intervention humaine. Des centaines de milliards investis en training, une fraction en sécurité des dépôts. Architecture ouverte, confiance implicite, consommation automatisée, mauvais Karaté Daniel-San.